【相关分享】记一次某985高校的漏洞挖掘
【相关分享】记一次某985高校的漏洞挖掘 原创 隼目安全 隼目安全 2024-09-23 21:39 点击蓝字 关注我们 免责声明 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 先
继续阅读标签: 敏感信息
CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞
CISA 提醒注意已遭利用的 Apache HugeGraph-Server 漏洞 Bill Toulas 代码卫士 2024-09-23 18:15 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 美国网络安全和基础设施局 (CISA) 将五个缺陷纳入必修清单,其中一个是影响 Apache HugeGraph-Server 的远程代码执行 (RCE) 漏洞CVE-2024-27348。 该
继续阅读ZeroLogon 到 NoPac 漏洞:Black Basta的漏洞利用武器库
ZeroLogon 到 NoPac 漏洞:Black Basta的漏洞利用武器库 安全客 2024-09-23 14:43 在网络安全领域,漏洞利用的演变与黑客组织的攻击手段息息相关。近年来,ZeroLogon(CVE-2020-1472)与 NoPac(CVE-2021-36761)漏洞的利用引起了广泛关注,尤其是由黑客组织 Black Basta的攻击活动。自 2022 年 4 月以来,Bla
继续阅读一款用于检测jsonp及cors漏洞的burp插件
一款用于检测jsonp及cors漏洞的burp插件 yuebusao 夜组安全 2024-09-21 10:30 免责声明 由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢! 所有工具安全性自测!!!VX: baobeiaini_ya 朋友
继续阅读ScopeSentry-资产测绘、信息收集、漏洞扫描工具
ScopeSentry-资产测绘、信息收集、漏洞扫描工具 黑白之道 2024-09-21 08:57 网址 • 官网:https://www.scope-sentry.top • Github: https://github.com/Autumn-27/ScopeSentry • 扫描端源码:https://github.com/Autumn-27/ScopeSentry-Scan 介绍 Scop
继续阅读微软SQL服务器漏洞被用于攻击承包商软件
微软SQL服务器漏洞被用于攻击承包商软件 Dark Reading 代码卫士 2024-09-20 18:06 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Huntress 公司的安全研究人员提到,威胁行动者们正在利用管路系统、HVAC、混凝土子行业中的活跃利用,攻击建筑行业一般承包商常用的Foundation会计软件。 研究人员最初在9月14日追踪活动时发现该威胁,他们提到,“引起我们
继续阅读【已复现】Ivanti Endpoint Manager反序列化漏洞(CVE-2024-29847)安全风险通告第二次更新
【已复现】Ivanti Endpoint Manager反序列化漏洞(CVE-2024-29847)安全风险通告第二次更新 奇安信 CERT 2024-09-20 17:03 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager反序列化远程代码执行漏洞 漏洞编号 QVD-2024-39422,CVE-2024-29847 公开时间 20
继续阅读信息安全漏洞周报(2024年第38期 )
信息安全漏洞周报(2024年第38期 ) CNNVD CNNVD安全动态 2024-09-20 14:15 点击蓝字 关注我们 漏洞情况**** 根据国家信息安全漏洞库(CNNVD)统计,本周(2024年9月9日至2024年9月15日)安全漏洞情况如下: 公开漏洞情况 本周CNNVD采集安全漏洞713个。 接报漏洞情况 本周CNNVD接报漏洞28582个,其中信息技术产品漏洞(通用型漏洞)191个
继续阅读下一代SAST |灵脉SAST3.5智能AI漏洞验证技术智慧再升级!
下一代SAST |灵脉SAST3.5智能AI漏洞验证技术智慧再升级! 原创 Xmirror 悬镜安全 2024-09-20 09:30 多模智能引擎高阶进化 检出率、检出精度再创新高 01 智能AI漏洞验证 AI已成为新型的基础设施,灵脉SAST多模智能引擎继智能代码修复、融合SCA和联动XSBOM数字供应链安全情报后,V3.5版本全新支持智能AI漏洞验证。 传统的SAST工具依赖于预定义的规则或
继续阅读【安全科普】OSS存储桶漏洞总结
【安全科普】OSS存储桶漏洞总结 学网络安全到 开源聚合网络空间安全研究院 2024-09-19 16:53 网 安 教 育 培 养 网 络 安 全 人 才 技 术 交 流 、 学 习 咨 询 简介 OSS,对象存储服务,对象存储可以简单理解为用来存储图片、音频、视频等非结构化数据的数据池。相对于主机服务器,具有读写速度快,利于分享的特点。 OSS工作原理: 数据以对象(Object)的形式存储在
继续阅读上周关注度较高的产品安全漏洞(20240909-20240915)
上周关注度较高的产品安全漏洞(20240909-20240915) 国家互联网应急中心CNCERT 2024-09-19 11:58 一、境外厂商产品漏洞 1、 Siemens SIMATIC SCADA和PCS 7 systems远程代码执行漏洞 SIMATIC Information Server用于报告和可视化存储在SIMATIC process Historian中的过程数据。SIMATI
继续阅读Gmail 中的 HTML 表单注入漏洞
Gmail 中的 HTML 表单注入漏洞 原创 骨哥说事 骨哥说事 2024-09-18 22:22 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 博客新域名:https://gugesay.com **不想错过任何消息?设置星标↓ ↓ ↓ 前言 你是否知道 Gmail 允许使用 HT
继续阅读手把手edusrc漏洞挖掘和github信息收集
手把手edusrc漏洞挖掘和github信息收集 想当文人的黑客 Z2O安全攻防 2024-09-18 21:07 点击上方[蓝字],关注我们 建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦! 因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【…】,然后点击【设为星标】即可。 免责声明 本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任
继续阅读雷神众测漏洞周报2024.09.09-2024.09.17
雷神众测漏洞周报2024.09.09-2024.09.17 原创 雷神众测 雷神众测 2024-09-18 17:12 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读漏洞挖掘 | 记某大学信息服务平台密码重置缺陷
漏洞挖掘 | 记某大学信息服务平台密码重置缺陷 原创 zkaq – 98k 掌控安全EDU 2024-09-17 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – 98k 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 这篇文章是在一个大学的站点进行测试的时候发现的,也是直接拿fofa找该域名相
继续阅读2024年推出的11个顶级漏洞悬赏项目
2024年推出的11个顶级漏洞悬赏项目 晶颜123 FreeBuf 2024-09-16 09:30 漏洞悬赏计划仍然是2024年网络安全战略的重要组成部分,为组织提供了从各种网络安全专业人员和研究人员那里获得帮助的能力。Bugcrowd、HackerOne、Synack、YesWeHack和integriti等领先的漏洞奖励平台将道德黑客与组织联系起来,为漏洞披露和解决方案提供结构化框架,并为成
继续阅读漏洞预警 | 泛微E-Cology SQL注入漏洞
漏洞预警 | 泛微E-Cology SQL注入漏洞 浅安 浅安安全 2024-09-16 08:30 0x00 漏洞编号 – # 暂无 0x01 危险等级 – 高危 0x02 漏洞概述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理功能的协同商务平台。 0x03
继续阅读漏洞挖掘 | 记一次针对blade站点的渗透测试
漏洞挖掘 | 记一次针对blade站点的渗透测试 原创 zkaq – Tobisec 掌控安全EDU 2024-09-15 12:01 扫码领资料 获网安教程 本文由掌控安全学院 – Tobisec 投稿 来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 0x1 前言 浅谈 哈喽,师傅们好! 这篇文章呢,主要是我在微信公众号通
继续阅读【安全圈】苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息
【安全圈】苹果 Vision Pro 曝出严重漏洞,黑客可通过用户眼动输入窃取信息 安全圈 2024-09-14 19:02 关键词 数据泄露 近日,苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞,一旦被黑客成功利用,他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。 该攻击活动名为 GAZEploit,该漏洞被追踪为 CVE-2024-40865。 佛罗里达大学的学者
继续阅读苹果Vision Pro被曝安全漏洞:眼球追踪技术或泄露密码
苹果Vision Pro被曝安全漏洞:眼球追踪技术或泄露密码 看雪学苑 看雪学苑 2024-09-14 17:59 近日,苹果公司的混合现实头显设备Apple Vision Pro被曝光存在安全漏洞, 攻击者可 通过分析用户的眼动追踪数据, 破解用户在虚拟键盘上输入的内容,成功复现人们通过眼动输入的密码、PIN码等敏感信息。 这是一种 新型攻击方法 ,被命名为GAZEploit ,该攻击方法利用了
继续阅读Apple Vision Pro漏洞暴露虚拟键盘输入
Apple Vision Pro漏洞暴露虚拟键盘输入 THN 代码卫士 2024-09-14 17:52 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果修复 Vision Pro 中的一个严重漏洞 (CVE-2024-40865),它本可刀子攻击者暴露在设备虚拟键盘上输入的的数据。 该攻击名为“GAZEploit”,是“一种新型攻击,可从头像中提取与眼睛相关的生物特征,重构通过受注视控
继续阅读Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)安全风险通告
Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)安全风险通告 奇安信 CERT 2024-09-13 17:40 ● 点击↑蓝字关注我们,获取更多安全风险通告 漏洞概述 漏洞名称 Ivanti Endpoint Manager反序列化远程代码执行漏洞 漏洞编号 QVD-2024-39422,CVE-2024-29847 公开时间 2024-0
继续阅读【漏洞预警】Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行
【漏洞预警】Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行 cexlife 飓风网络安全 2024-09-11 23:44 漏洞描述: 监测到Ivanti Endpoint Manager应用中存在一个反序列化漏洞,未经授权的攻击者可以通过该漏洞在服务器上执行任意代码,获取服务器控制权限和敏感信息。修复建议:正式防护方案:厂商已发布补丁修复漏洞,用户请尽快更新
继续阅读上周关注度较高的产品安全漏洞(20240902-20240908)
上周关注度较高的产品安全漏洞(20240902-20240908) 国家互联网应急中心CNCERT 2024-09-10 14:48 一、境外厂商产品漏洞 1、ZOHO ManageEngine ADAudit Plus SQL注入漏洞(CNVD-2024-37481) ZOHO ManageEngine ADAudit Plus是美国卓豪(ZOHO)公司的用于简化审计、证明合规性和检测威胁。ZO
继续阅读未知技术大揭秘,让XSS漏洞无处遁形!0x2
未知技术大揭秘,让XSS漏洞无处遁形!0x2 迪哥讲事 2024-09-09 23:09 forever young 不论昨天如何,都希望新的一天里,我们大家都能成为更好的人,也希望我们都是走向幸福的那些人 01 通过SVG文件上传的存储型XSS 安全小白团 书接上回《未知技术大揭秘,让XSS漏洞无处遁形!0x1 》 关键词:文件上传——手动测试。 在完成信息收集后,我查找了aquatone的结果
继续阅读安全热点周报:HAProxy 漏洞 CVE-2024-45506 正在被利用需要紧急修补
安全热点周报:HAProxy 漏洞 CVE-2024-45506 正在被利用需要紧急修补 奇安信 CERT 2024-09-09 18:50 安全资讯导视 • 工信部《电子认证服务管理办法》修订版公开征求意见 • 美国AI医疗公司服务器配置错误,泄露5.3TB心理健康记录 • 网络攻击影响国家金融稳定!伊朗被迫支付超2000万元赎金 PART01 漏洞情报 1.Apache OFBiz远程代码执
继续阅读【安全圈】研究人员发现Yubikeys中存在一个难以利用但也难修复的漏洞
【安全圈】研究人员发现Yubikeys中存在一个难以利用但也难修复的漏洞 安全圈 2024-09-07 19:00 关键词 安全漏洞 Yubikeys 是使用最广泛的双因素身份验证 (2FA) 硬件工具之一,某些版本容易受到侧信道攻击。 NinjaLab 的安全专家兼联合创始人 Thomas Roche 发现 YubiKey 5 系列设备包含一个加密漏洞,当攻击者获得对它们的临时物理访问权限时,它
继续阅读俄罗斯APT29再度出击:重复利用NSO Group和Intellexa开发的iOS与Chrome漏洞
俄罗斯APT29再度出击:重复利用NSO Group和Intellexa开发的iOS与Chrome漏洞 原创 紫队 紫队安全研究 2024-09-07 12:01 大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星
继续阅读黑客活动家利用 WinRAR 漏洞对俄罗斯和白俄罗斯发动攻击
黑客活动家利用 WinRAR 漏洞对俄罗斯和白俄罗斯发动攻击 网安百色 2024-09-06 19:30 一个名为 Head Mare 的黑客组织与专门针对位于俄罗斯和白俄罗斯的组织的网络攻击有关。 “Head Mare 使用更多最新的方法来获得初始访问权限,”卡巴斯基在周一对该组织的策略和工具的分析中说。 “例如,攻击者利用了 WinRAR 中相对较新的 CVE-2023-38831 漏洞,该漏
继续阅读【已复现】Apache OFBiz存在未授权远程代码执行漏洞(CVE-2024-45195)
【已复现】Apache OFBiz存在未授权远程代码执行漏洞(CVE-2024-45195) 安恒研究院 安恒信息CERT 2024-09-06 18:17 漏洞概述 漏洞名称 Apache OFBiz存在未授权远程代码执行漏洞(CVE-2024-45195) 安恒CERT评级 1级 CVSS3.1评分 9.8(安恒自评) CVE编号 CVE-2024-45195 CNVD编号 未分配 CNNVD
继续阅读